SharePoint พบช่องโหว่ RCE CVE‑2026‑45659 เพิ่มในรายการ KEV ของ CISA

ที่มาภาพ: The Hacker News

Security-อ่าน 6 นาทีThe Hacker News

SharePoint พบช่องโหว่ RCE CVE‑2026‑45659 เพิ่มในรายการ KEV ของ CISA

⚡ สรุป 30 วิ

Microsoft SharePoint Server มีช่องโหว่ระดับสูง CVE‑2026‑45659 ที่ให้ผู้โจมตีรันโค้ดระยะไกลและถูกเพิ่มใน KEV ของ CISA…

Microsoft SharePoint Server เผชิญช่องโหว่ระดับสูงที่ได้รับการบันทึกเป็น CVE‑2026‑45659 และถูกเพิ่มเข้าสู่รายการ Known Exploited Vulnerabilities (KEV) ของ CISA** หลังจากพบหลักฐานการโจมตีจริง การเปิดเผยนี้ทำให้ผู้ดูแลระบบต้องเร่งตรวจสอบและอัปเดตเพื่อป้องกันการรันโค้ดระยะไกลจากการจัดการข้อมูลที่ไม่ได้รับการตรวจสอบ

Overview

ช่องโหว่นี้เป็นช่องโหว่ Remote Code Execution (RCE) ที่เกิดจากการทำ deserialization ของข้อมูลที่ไม่เชื่อถือได้บน Microsoft SharePoint Server ตามที่ CISA** รายงานในวันพุธที่ผ่านมา การบันทึกลงในฐานข้อมูล KEV แสดงให้เห็นว่ามีการใช้งานช่องโหว่นี้ในโลกจริง ซึ่งทำให้ความเสี่ยงต่อองค์กรที่ใช้ SharePoint เพิ่มสูงขึ้นอย่างมีนัยสำคัญ

จากมุมมองของผู้เชี่ยวชาญด้านความปลอดภัย การที่ช่องโหว่ระดับ CVSS 8.8 ถูกจัดให้อยู่ในระดับ “สูง” นั้นสอดคล้องกับความสามารถของผู้โจมตีในการควบคุมระบบเป้าหมายได้โดยตรง การบรรจุใน KEV จึงเป็นสัญญาณเตือนที่องค์กรควรให้ความสำคัญเป็นอันดับต้น ๆ

Technical Details

CVE‑2026‑45659 เกิดจากการจัดการข้อมูลที่ไม่ได้รับการตรวจสอบ (untrusted data) ในขั้นตอนการ deserialize ภายในโมดูลของ SharePoint ซึ่งอาจทำให้ผู้โจมตีส่งโค้ดที่เป็นอันตรายเข้าไปและทำให้ระบบรันโค้ดโดยไม่ได้รับอนุญาต

กระบวนการ deserialization ที่ไม่ปลอดภัยมักเกี่ยวข้องกับการแปลงข้อมูลจากรูปแบบไบนารีหรือข้อความกลับเป็นอ็อบเจกต์ของโปรแกรม หากไม่มีการตรวจสอบความสมบูรณ์ของข้อมูลที่เข้ามา ผู้โจมตีสามารถฝัง payload ที่ทำให้ระบบทำงานตามที่ต้องการได้

ในเชิงเทคนิค ช่องโหว่นี้ไม่ได้จำกัดแค่การทำงานบนระบบปฏิบัติการใดระบบปฏิบัติการหนึ่งเท่านั้น แต่ขึ้นอยู่กับเวอร์ชันของ SharePoint Server ที่มีฟังก์ชันการ deserialize ที่มีช่องโหว่นี้อยู่ ซึ่งทำให้การประเมินความเสี่ยงต้องอิงตามการใช้งานจริงของแต่ละองค์กร

Exploitation Activity

ตามรายงานของ CISA มีหลักฐานชัดเจนว่าแหล่งโจมตีได้ใช้ช่องโหว่นี้ในการทำการโจมตีจริง โดยมีการสังเกตพฤติกรรมของเครือข่ายที่แสดงถึงการส่ง payload ไปยังเซิร์ฟเวอร์ SharePoint ที่ไม่ได้รับการป้องกัน

การโจมตีแบบ RCE นี้มักจะนำไปสู่การรับสิทธิ์ระดับผู้ดูแลระบบ (administrator) หรือการรันคำสั่งบนเซิร์ฟเวอร์ ซึ่งสามารถทำให้ข้อมูลสำคัญถูกขโมยหรือทำลายได้ การที่ผู้โจมตีสามารถทำเช่นนี้ได้โดยอัตโนมัติ ทำให้ความเสี่ยงต่อการแพร่กระจายของการโจมตีเพิ่มขึ้นอย่างรวดเร็ว

โดยทั่วไป การสังเกตการใช้ช่องโหว่นี้จะปรากฏในบันทึกการเข้าถึง (access logs) ที่มีการร้องขอ URL หรือพารามิเตอร์ที่ผิดปกติ ซึ่งอาจเป็นสัญญาณเตือนให้ผู้ดูแลระบบทำการตรวจสอบเพิ่มเติม

Response & Mitigation

CISA แนะนำให้ผู้ดูแลระบบขององค์กรที่ใช้ Microsoft SharePoint Server ทำการตรวจสอบเวอร์ชันและการตั้งค่าปัจจุบันทันที รวมถึงตรวจสอบว่ามีการติดตั้งแพตช์หรืออัปเดตจาก Microsoft ที่แก้ไขช่องโหว่นี้หรือไม่

หากไม่มีแพตช์ที่พร้อมใช้งาน คำแนะนำเบื้องต้นคือการปิดหรือจำกัดการเข้าถึงฟีเจอร์ที่เกี่ยวข้องกับการ deserialize ผ่านการตั้งค่าไฟร์วอลล์แอปพลิเคชัน (WAF) หรือการใช้ระบบตรวจจับการบุกรุก (IDS/IPS) เพื่อลดความเสี่ยงจากการโจมตี

นอกจากนี้ การทำ security hardening ของ SharePoint Server เช่น การจำกัดสิทธิ์ผู้ใช้, การตรวจสอบและบันทึกกิจกรรมที่ผิดปกติ, และการใช้โซลูชันการสแกนช่องโหว่เป็นขั้นตอนที่ควรทำควบคู่ไปกับการอัปเดตซอฟต์แวร์

Impact

ช่องโหว่ CVE‑2026‑45659 มีศักยภาพในการทำให้ระบบ SharePoint ถูกควบคุมโดยผู้โจมตี ทำให้ข้อมูลองค์กรที่จัดเก็บบนแพลตฟอร์มนี้อาจถูกเปิดเผยหรือทำลายได้โดยง่าย เนื่องจาก SharePoint มักใช้เป็นศูนย์กลางการทำงานร่วมกันของเอกสารและข้อมูลสำคัญ

องค์กรที่พึ่งพา SharePoint เป็นหลักในกระบวนการทำงาน เช่น ภาครัฐ, ธนาคาร, และบริษัทเทคโนโลยีขนาดใหญ่ จะต้องประเมินผลกระทบต่อการดำเนินงานและพิจารณาการสำรองข้อมูลอย่างสม่ำเสมอ เพื่อลดความเสียหายจากเหตุการณ์ที่อาจเกิดขึ้น

การที่ช่องโหว่นี้ได้ถูกเพิ่มใน KEV ของ CISA แสดงให้เห็นว่าผู้โจมตีกำลังมุ่งเน้นที่แพลตฟอร์มที่มีการใช้งานกว้างขวาง การตอบสนองอย่างรวดเร็วและการสื่อสารภายในองค์กรจึงเป็นปัจจัยสำคัญในการป้องกันการโจมตีในระดับต่อไป

Summary

CVE‑2026‑45659 เป็นช่องโหว่ระดับสูงของ Microsoft SharePoint Server ที่ทำให้เกิดการรันโค้ดระยะไกลจากการ deserialize ข้อมูลที่ไม่เชื่อถือได้ และได้รับการบันทึกในรายการ KEV ของ CISA หลังจากมีหลักฐานการโจมตีจริง ผู้ดูแลระบบควรเร่งตรวจสอบและอัปเดตระบบเพื่อลดความเสี่ยงต่อการละเมิดข้อมูลและการหยุดชะงักของบริการ.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
2 กรกฎาคม 2569 เวลา 12:46

Related

บทความที่เกี่ยวข้อง

ช่องโหว่วิกฤต Splunk Enterprise ให้รันโค้ดโดยไม่มีการยืนย…Security
15 มิถุนายน 2569 เวลา 20:00

ช่องโหว่วิกฤต Splunk Enterprise ให้รันโค้ดโดยไม่มีการยืนย…

Splunk ปล่อยแพตช์แก้ช่องโหว่ CVE‑2026‑20253 ที่ให้ผู้ไม่ประสงค์ดีรันโค้ดโดยไม่ต้องยืนยันตัวตนและได้คะแนนความรุนแรง 9.8 ผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชัน 10.2.4…

The Hacker News5 นาที
ช่องโหว่ระดับสูงของ LiteLLM (CVE‑2026‑42271) ถูกใช้ในโลกจ…Security
11 มิถุนายน 2569 เวลา 13:00

ช่องโหว่ระดับสูงของ LiteLLM (CVE‑2026‑42271) ถูกใช้ในโลกจ…

LiteLLM ของ BerriAI มีช่องโหว่ CVE‑2026‑42271 ที่ให้ผู้ใช้ที่ยืนยันตัวตนสามารถรันคำสั่งบนเซิร์ฟเวอร์ได้ และมีหลักฐานการโจมตีในโลกจริงตามรายงานของ CISA.…

The Hacker News8 นาที
ช่องโหว่ Windows Netlogon ระดับ Critical ถูกโจมตีแล้วในอง…Security
3 มิถุนายน 2569 เวลา 19:30

ช่องโหว่ Windows Netlogon ระดับ Critical ถูกโจมตีแล้วในอง…

CCB รายงานว่าช่องโหว่ Windows Netlogon RCE ระดับ Critical ถูกใช้โจมตีองค์กรตั้งแต่ต้นปี 2024 ทำให้ผู้โจมตีได้สิทธิ์ Domain Administrator…

BleepingComputer7 นาที
นักวิจัยแสดงให้โมเดลภาษาใหญ่เปิดสูตรสังเคราะห์โคเคนด้วยการหลอกแบบ role confusionSecurity
2 กรกฎาคม 2569 เวลา 06:30

นักวิจัยแสดงให้โมเดลภาษาใหญ่เปิดสูตรสังเคราะห์โคเคนด้วยการหลอกแบบ role confusion

งานวิจัยของ Charles Ye, Jasmine Cui และ Dylan Hadfield‑Menell แสดงว่า LLM สามารถถูกหลอกให้ให้สูตรโคเคนได้โดยใช้เทคนิค role confusion ผ่านการโจมตีแบบ prompt…

The Register7 นาที
คัดลอกลิงก์แล้ว!